Attacken mot Visma upptäcktes av företagets egna säkerhetssystem, samtidigt som varningar kom in från det amerikanska it-säkerhetsföretaget Rapid 7 om en pågående attack. Tillsammans med Rapid 7 kunde Vismas säkerhetspersonal snabbt konstatera att inga av kundernas it-system hade påverkats av attacken – men de kunde också konstatera att någon penetrerat Vismas it-system, eskalerat sina systemrättigheter, installerat skadlig kod samt laddat upp information.

I september 2018 tog Visma kontakt med it-säkerhetsföretaget Recorded Future och delade med sig av de data, bland annat prover på skadlig kod och nätverksloggar, som samlats in under och efter attacken. Med hjälp av dessa data kunde Recorded Future analysera attacken och leverera den incidentrapport TechWorld tagit del av.

Attacken mot Visma började redan den 17 augusti 2018 med sonderingar och inloggningar i Vismas infrastruktur med hjälp av två stulna klientkonton till Vismas Citrix-system. Två veckor efter den första, ganska försiktiga, kontakten började förövarna exploatera omgivningarna genom att analysera nätverket och placera ut skadlig kod på olika enheter inne på nätverket. Ytterligare några dagar senare hade de skaffat sig tillgång till konton med höga åtkomsträttigheter. Hur de två Citrix-kontona stals till att börja med har utredarna inte lyckats ta reda på.

Genom hela augusti 2018 loggade förövarna från APT 10 regelbundet in på Vismas Citrix-server. Nätverksloggarna visar att inloggningarna skedde på udda tider i Europa, men som stämmer väl överens med kontorstid i Kina. Vid samtliga tillfällen kom inloggningarna via någon av åtta vpn-ändpunkter vars ip-subnät pekar på fyra olika vpn-tjänster, varav en kan spåras till ett obskyrt företag med fysisk adress i Panama.

Nästan två veckor efter den initiala kontakten, den 30 augusti 2018, skred APT 10 till verket. De utnyttjade sin tillgång till det interna nätverket till att arbeta i sidled och utförde sin första utrullning av en rc4- och Salsa20-krypterad variant av den skadliga koden Trochilus med hjälp av så kallad DLL sideloading. Detta skedde längs två vägar, vilket indikerar att APT 10 hade tillgång till två konton.

Sveriges största event inom digitala affärer är tillbaka! Webbdagarna Stockholm 19-20 mars, Boka nu!

APT 10:s variant av Trochilus använder både rc4- och salsa20-kryptering när den kommunicerar med sin kontrollserver (C&C), till skillnad från endast rc4 i den variant som finns i det vilda. APT 10 använde en speciell metod för DLL sideloading som involverar tre olika filer. Den första filen är en legitim binär, uppdateringsprogrammet till Notepad++ (gup.exe), som används för att ladda in en manipulerad DLL-fil (libcurl.dll). Den manipulerade DLL-filen används sedan för att avkryptera och packa upp den tredje filen som innehåller skalkommandon. Konfigurationsfilen laddar sedan in nyttolasten i Trochilus, bakdörren Uppercut/Anel, i minnet genom att injicera den in i en legitim systemprocess.

Förövarna använde sedan Mimikatz (pd.exe) för att stjäla inloggningsuppgifter och använde Microsofts BITSAdmin-verktyg för att överföra filer från kontrollservern till Vismas nätverk. Förövarna föredrog att ladda ned sina skadliga verktyg till katalogerna C:\ProgramData\temp eller C:\ProgramData\media och köra kommandon med hjälp av batchfiler (x.bat).

Syftet med APT 10:s attacker är att komma över företagshemligheter, speciellt tekniska specifikationer, ritningar, konstruktioner och liknande. APT 10 är helt enkelt en del av Kinas industrispionage. Recorded Future skriver uttryckligen i sin incidentrapport att de vet att APT 10 är en del av den kinesiska militära säkerhetstjänsten.

I Vismas fall lyckades man överföra information genom att använda skräddarsydd skadlig kod för att föra över information via Dropbox. Man använde även WinRAR och Curl, men under andra namn, för att komprimera och ladda upp informationen via Dropbox api.

Visma skriver i ett pressmeddelande med anledning av attacken att de under större delen av incidenten samarbetat med norska myndigheten Nasjonal Sikkerhetsmyndighet (NSM NorCERT) och polisen, samt Rapid 7.

APT 10 har varit aktiv sedan åtminstone 2009. Historiskt har gruppen attackerat organisationer och företag inom hälsovård, försvar, flyg, myndigheter, tung industri och gruvdrift, och förstås olika it-verksamheter som molntjänster och så kallade Managed Service Providers (MSP) som Visma. De är specialiserade på industrispionage, särskilt inom högteknologiska branscher. Tidigt 2017 började APT 10 inrikta sig på MSP:er och deras kundnätverk inom ramen för operation Cloud Hopper. Visma är bara den senaste i en serie attacker inom Cloud Hopper.

Läs också:
Visma hackat av kinesisk säkerhetstjänst
USA trycker på EU om att stoppa Huawei